淺談中小型企業(yè)網(wǎng)絡(luò)VPN接入解決方案

陳林

【摘 要】隨著企業(yè)規(guī)模的擴(kuò)大與網(wǎng)絡(luò)技術(shù)的普及，越來越多的企業(yè)開始構(gòu)建自己的分支機(jī)構(gòu)，并且有更多的移動辦公人員需要進(jìn)行遠(yuǎn)程訪問企業(yè)內(nèi)部的網(wǎng)絡(luò)，故這一需求促進(jìn)了VPN技術(shù)的發(fā)展。隨著VPN技術(shù)應(yīng)用的日益廣泛，IPSec已經(jīng)成為實(shí)現(xiàn)VPN的主要技術(shù)。結(jié)合IPSec VPN技術(shù)的特點(diǎn)，將此技術(shù)應(yīng)用企業(yè)網(wǎng)的擴(kuò)張與建設(shè)中，用于提供低成本、高效、可靠、安全的網(wǎng)絡(luò)數(shù)據(jù)傳輸。在本次企業(yè)接入方案中，將實(shí)現(xiàn)總部網(wǎng)絡(luò)的規(guī)劃及設(shè)計(jì)，分部及移動辦公人員的設(shè)計(jì)，最后利用GRE、NAT、IPSec三項(xiàng)技術(shù)實(shí)現(xiàn)分部對總部的VPN接入。在移動辦公人員接入方面，使用L2PT隧道技術(shù)保證移動辦公人員靈活地接入企業(yè)總部網(wǎng)絡(luò)。

【關(guān)鍵詞】企業(yè)網(wǎng)；VPN；IPSEC；L2TP；GRE

一、課題來源

Internet本質(zhì)上是一個開放的網(wǎng)絡(luò)，沒有任何安全措施可言。隨著Internet應(yīng)用的擴(kuò)展，很多要求和保密的業(yè)務(wù)需要通過Internet實(shí)現(xiàn)。VPN（Virtual Private Network）的概念最早是從專線引發(fā)的。先舉一個例子說明為什么需要VPN，例如一個公司在全國各地都有分公司，那么通常它必須租用專線實(shí)現(xiàn)企業(yè)內(nèi)部的互聯(lián)網(wǎng)絡(luò)，這種方式需要在兩地或多個地點(diǎn)之間租用長途線路，不論是否有數(shù)據(jù)傳輸這條長途線路都固定分配，用戶付出的代價很高。故這一需求促進(jìn)了VPN技術(shù)的發(fā)展。VPN可以給企業(yè)帶來更大的靈活性和更高的生產(chǎn)力，用戶幾乎可以從任何地方的遠(yuǎn)程站點(diǎn)和遠(yuǎn)程辦公室安全地連接到企業(yè)的網(wǎng)絡(luò)。VPN對數(shù)據(jù)加密阻止非法用戶破譯。VPN也允許遠(yuǎn)程主機(jī)訪問防火前的內(nèi)部，遠(yuǎn)程用戶就像在公司內(nèi)一樣使用網(wǎng)絡(luò)設(shè)備。因此，研究VPN在企業(yè)中的接入顯示出迫切性和現(xiàn)實(shí)性。

目前很多企業(yè)都面臨著這樣的挑戰(zhàn)：企業(yè)分公司、經(jīng)銷商、合作伙伴、客戶和移動出差人員要求隨時經(jīng)過公用網(wǎng)訪問公司的資源，這些資源包括：公司的內(nèi)部資料、辦公OA、ERP系統(tǒng)、CRM系統(tǒng)、項(xiàng)目管理系統(tǒng)等。為了解決這些問題，目前很多企業(yè)通過使用IPSec VPN和L2TP VPN技術(shù)來保證公司總部和分支機(jī)構(gòu)以及移動工作人員之間的安全連接。

二、企業(yè)與應(yīng)用接入需求分析及方案選擇

（一）需求分析

某企業(yè)為一家中大型企業(yè)，總部設(shè)在北京，是整個企業(yè)的中心點(diǎn)。隨著企業(yè)規(guī)模的擴(kuò)大與業(yè)務(wù)的需要，在長沙建立了一個分部站點(diǎn)，該站點(diǎn)在工作中必須和總部保持順暢的通信。除此之外，還有大量的移動辦公人員需要適時地接入到總部進(jìn)行辦公。同時企業(yè)對公司網(wǎng)絡(luò)接入的需求為：價格低廉、接入方式多又容易、對寬帶要求高、對數(shù)據(jù)傳輸?shù)陌踩栽絹碓礁?、可靠性要求高等?/p>

（二）企業(yè)接入方案選擇

雖然專線網(wǎng)絡(luò)在帶寬上有明顯的優(yōu)勢，但由于專線網(wǎng)絡(luò)具有的一些固有缺陷，比如在費(fèi)用上的開銷很大，一般企業(yè)難以接受太高的價格。然而VPN的目的就是通過公用網(wǎng)絡(luò)將異地的網(wǎng)點(diǎn)互聯(lián)，實(shí)現(xiàn)一個私有網(wǎng)就像用專線聯(lián)接起來的一樣，其實(shí)現(xiàn)的方式就是在公網(wǎng)上建立某種形式的鏈路作為IP的隧道進(jìn)行異地網(wǎng)點(diǎn)互聯(lián)。在公網(wǎng)上實(shí)現(xiàn) VPN ，用戶只需要付出到網(wǎng)絡(luò)服務(wù)提供商的本地線路費(fèi)用，并且在沒有數(shù)據(jù)傳輸時可以斷開連接進(jìn)一步節(jié)省了開銷。通過對上述接入接入方案的對比以及考慮到企業(yè)對網(wǎng)絡(luò)的需求，最終選用虛擬專用網(wǎng)（VPN）的解決方案。此外VPN還能夠?qū)?shù)據(jù)流進(jìn)行加密保護(hù)，實(shí)現(xiàn)了對重要數(shù)據(jù)的保密。所以，VPN接入是個不錯的選擇。

三、整個企業(yè)VPN接入介紹

（一）企業(yè)總部模塊：由多臺交換機(jī)與路由器搭建成，核心交換機(jī)與路由器運(yùn)行OSPF路由協(xié)議，加快鏈路的快速收斂；2臺總部核心交換機(jī)與邊界路由器使用靜態(tài)浮動路由對接；總部模塊的核心交換機(jī)做DCHP，為總部用戶分配IP地址；邊界路由器接入Internet；總部模塊使用GRE協(xié)議實(shí)現(xiàn)和企業(yè)分部模塊的連接，共同運(yùn)行OSPF路由協(xié)議等。

（二）企業(yè)分部模塊：分部申請一個固定的公網(wǎng)IP地址，使用GRE協(xié)議實(shí)現(xiàn)和企業(yè)總部模塊進(jìn)行連接，和總部共同運(yùn)行OSPF路由協(xié)議協(xié)議；分部要求通過總部邊界路由器訪問Internet，不允許單獨(dú)上網(wǎng)等。

（三）移動辦公用戶接入模塊：移動用戶接入模塊通過L2TP隧道可以訪問總部及分部的資源；L2TP撥入采用PPP Chap認(rèn)證等。

（四）企業(yè)設(shè)備選擇：

匯聚層交換層是多臺接入層交換機(jī)的匯聚點(diǎn)，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機(jī)與接入層交換機(jī)比較，需要更高的性能，更少的接口和更高的交換速率。

四、結(jié)論與展望

通過本次設(shè)計(jì)，主要實(shí)現(xiàn)了利用VPN技術(shù)來解決企業(yè)網(wǎng)內(nèi)的互聯(lián)，即通過不安全的Internet來傳輸數(shù)據(jù)信息。企業(yè)網(wǎng)的總部和分部之間，通過IPSEC技術(shù)和GRE隧道技術(shù)的結(jié)合，即GRE OVER IPSEC與IPSEC OVER GRE技術(shù)，可以實(shí)現(xiàn)總部與分部的連通性，并且解決了數(shù)據(jù)在Internet傳輸?shù)牟话踩?。企業(yè)網(wǎng)的總部與移動辦公人員之間，通過建立L2TP隧道的方法，可以實(shí)現(xiàn)出門在外的移動辦公人員可以隨時地通過Internet連接到企業(yè)，訪問企業(yè)的內(nèi)網(wǎng)資源，有效的提高了辦公效率。

此企業(yè)的VPN接入只是一個普遍案例，適用于大多數(shù)需要VPN的企業(yè)。然而VPN接入方面還有許多技術(shù)，比如在L2TP的隧道上再結(jié)合IPSEC的加密，實(shí)現(xiàn)L2TP OVER IPSEC，這樣就保證了移動辦公的數(shù)據(jù)可以被加密。還比如分部是通過撥號上網(wǎng)，公網(wǎng)IP地址是活動的，那么又是一種和本次設(shè)計(jì)不一樣的情況。VPN技術(shù)不僅僅只有IPSE、GRE、L2TP等技術(shù)，諸如MPLS VPN技術(shù)也可以實(shí)現(xiàn)企業(yè)的接入。

通過對此案例的設(shè)計(jì)，讓我學(xué)習(xí)到了新專業(yè)技能，對VPN有了更深一步的了解，也加強(qiáng)了自己的動手實(shí)踐能力。在此次VPN的設(shè)計(jì)中，由于本人對知識的掌握程度和技能的不足，在理論和實(shí)現(xiàn)上難免會有許多的錯誤，真誠地希望能得到老師們的指導(dǎo)，這樣才更能夠加快提升自己的能力。